A WordPress tűzfalak webalkalmazási tűzfalak (WAF-ok), amelyeket kifejezetten a WordPress webhelyek védelmére terveztek. Az általunk használt és ajánlott WordPress tűzfalak a Sucuri, a Malcare és a BBQ: Block Bad Queries.
A WAF-ok viszonylag újak a webes biztonsági iparágban. Ezért írtuk ezt az útmutatót, hogy elmagyarázzuk, mik azok a tűzfalak, és hogyan fejlődtek a WAF-okká. Rávilágít továbbá a piacon elérhető különböző típusú WordPress tűzfalakra és azok működésére.
- A tűzfalak fogalma
- A webalkalmazási tűzfalak fejlődése
- Első generációs tűzfalak – csomagszűrés
- Második generációs tűzfalak – állapotszűrés
- Harmadik generációs tűzfalak – Alkalmazási réteg szűrése
- Webalkalmazás tűzfalak / WordPress tűzfalak
- Hogyan működnek a WordPress tűzfalak?
- A WordPress tűzfalak különböző típusai
- WordPress tűzfalak pluginok
- Oldahelyi dedikált WordPress webalkalmazás tűzfalak
- Online WordPress webhely tűzfalak
- Az online tűzfalak megkerülhetők
- A WordPress tűzfalak általános korlátai
- Korlátozott nulladik napi sebezhetőségvédelem
- Webalkalmazási tűzfal megkerülése
- Kell-e WordPress tűzfalat használnia?
A tűzfalak fogalma
A tűzfal egy olyan biztonsági szoftver vagy szolgáltatás, amelyet két vagy több hálózat közé telepítenek, hogy ellenőrizze az egyes hálózatok bejövő és kimenő forgalmát. Akadályként működik egy megbízható és egy nem megbízható hálózat között.
Egy tipikus beállításban a tűzfal egy internetkapcsolat és egy belső hálózat közé van telepítve. Arra szolgál, hogy megvédje a hálózatot a bejövő internetes támadásoktól. Arra is szolgál, hogy ellenőrizze, ki férhet hozzá az internethez. Ha otthonában WiFi routert használ, akkor a router az otthoni tűzfal. Manapság már szinte minden otthoni WiFi router rendelkezik beépített tűzfallal.
A webalkalmazási tűzfalak fejlődése
Első generációs tűzfalak – csomagszűrés
Eredetileg a tűzfalakat a hálózati forgalom ellenőrzésére és blokkolására tervezték. Csak csomagszűrést végeztek, és nem értették a forgalom hasznos terhét. Ha tehát egy webhelyet üzemeltetett a hálózatán, meg kellett nyitnia a 80-as portot a tűzfalon keresztül a nyilvánosság számára.
Mihelyt megnyitott egy portot, a tűzfal bármilyen bejövő forgalmat átenged rajta, beleértve a rosszindulatú forgalmat is.
Második generációs tűzfalak – állapotszűrés
A tűzfalak második generációja az OSI-modell 4. rétegén működött. Ez azt jelenti, hogy meg tudták határozni az általuk kezelt kapcsolat típusát. Például, hogy egy csomag új kapcsolatot nyit-e, vagy már létrejött egy kapcsolat stb.
A második generációs tűzfalaknak mégis sok korlátja volt a forgalom ellenőrzésében. Bár a rendszergazdák legalább létrehozhattak tűzfalszabályokat a kapcsolat állapota alapján.
Harmadik generációs tűzfalak – Alkalmazási réteg szűrése
A mai tűzfalakat a kilencvenes évek közepén vezették be. A modern tűzfaltechnológia megérti az alkalmazásokat és a protokollokat. Így a harmadik generációs tűzfalak képesek megérteni, hogy egy csomag hasznos terhelése FTP-kiszolgálónak szól-e, és mi a kérés, vagy HTTP-kapcsolat kérése, és mi a kérés.
Ez a technológia vezetett az egy hatókörű tűzfalak, például a webalkalmazás-tűzfalak kifejlesztéséhez.
Webalkalmazás tűzfalak / WordPress tűzfalak
A webalkalmazás tűzfalak egy hatókörű tűzfalak. Szerepük egy hálózaton az, hogy megvédjék a webhelyet a rosszindulatú hackertámadásoktól.
A WordPress tűzfal egy olyan webalkalmazás tűzfal, amelyet kifejezetten a WordPress védelmére terveztek. Amikor egy WordPress tűzfalat telepít a WordPress webhelyére, a webhelye és az internet között fut, hogy elemezze az összes bejövő HTTP-kérést.
Ha egy HTTP-kérés rosszindulatú hasznos terhet tartalmaz, a WordPress tűzfal megszakítja a kapcsolatot.
Hogyan működnek a WordPress tűzfalak?
A WordPress tűzfal a rosszindulatú kéréseket hasonlóan érzékeli, mint a rosszindulatú szoftverek a rosszindulatú fertőzéseket. Az ismert támadások listáját, az úgynevezett szignatúrákat használják, és ha egy HTTP-kérés hasznos terhe megegyezik egy szignatúrával, az azt jelenti, hogy a kérés rosszindulatú.
A legtöbb WordPress tűzfal nem teszi lehetővé a támadási szignatúrák módosítását. A nem WordPress-központú webalkalmazás-tűzfalak azonban nagymértékben konfigurálhatók. Kifejezetten az Ön webhelyére szabhatja őket, legyen szó WordPressről vagy egyedi megoldásról. Saját biztonsági szabályokat, kivételeket stb. hozhat létre. Azonban nagyon óvatosnak kell lenni a webalkalmazás-tűzfal konfigurálásakor, hogy ne blokkolja a jogszerű forgalmat.
Egyes webalkalmazás-tűzfalak automatikus tanulási technológiával is rendelkeznek. Ez a heurisztikus technológia elemzi a webhely forgalmát, hogy megtanulja, mi a legitim forgalom és mi nem.
A WordPress tűzfalak különböző típusai
WordPress tűzfalak pluginok
A saját tárhelyű WordPress tűzfalak többsége WordPress plugin. Amikor egy plugin tűzfalat telepítesz, minden, a weboldaladra küldött HTTP-kérés a következőképpen kerül feldolgozásra:
- Először a webkiszolgáló szolgáltatás (Apache vagy Nginx) fogadja.
- Ezután elindítja a WordPress bootstrap/load-ot, amely inicializálja a WordPress-t (wp-config.php, inicializálja az adatbázis-kapcsolatot, a WordPress beállításait stb.).
- Mielőtt a kérést a WordPress ténylegesen feldolgozná, azt a WordPress tűzfal plugin elemzi.
A WordPress tűzfal pluginok ideálisak a KKV-k számára, mivel nagyon megfizethetőek és könnyen használhatóak. Emellett a legtöbbjükbe rosszindulatú szoftverek szkennerét is beépítették. Ezek a tűzfalak azonban a webhelyeden futnak, és a WordPress inicializálja őket. Ezért ha a tűzfal inicializálása előtt sebezhetőséget talál a webhelyén, akkor nagy az esélye annak, hogy a támadók teljes hozzáférést szerezhetnek a WordPress webhelyéhez.
Oldahelyi dedikált WordPress webalkalmazás tűzfalak
A WordPress tűzfalaként általános webalkalmazás tűzfalak is használhatók. Ezek lehetnek dedikált hardvereszközök vagy szoftverek.
A generikus webalkalmazás tűzfalakat a WordPress webhely és az internetkapcsolat közé telepítik. Így minden, a WordPress webhelyére küldött HTTP-kérés először áthalad a WAF-on. Ezek a WAF-ok minden bizonnyal biztonságosabb megoldások, mint a WordPress tűzfal pluginok. Azonban drágák, és kezelésükhöz különleges technikai szakértelemre van szükség. Ezért jellemzően nem a kisvállalkozások használják őket.
Online WordPress webhely tűzfalak
A saját tárhelyű WordPress tűzfal pluginekkel vagy készülékkel ellentétben az online WordPress tűzfalat nem kell a webszerverrel azonos hálózatra telepíteni. Ez egy online szolgáltatás, amely úgy működik, mint egy proxy-kiszolgáló – a webhely forgalma átmegy rajta szűrés céljából, majd továbbítja a webhelyére.
Az online WordPress tűzfal használatakor konfigurálja a domainjének DNS-bejegyzéseit úgy, hogy azok az online WAF-ra mutassanak. Ez azt jelenti, hogy a webhely látogatói valójában az online WordPress tűzfallal kommunikálnak, és nem közvetlenül a WordPress webhelyével.
Tipikusan egy online tűzfal több hatókörrel rendelkezik. Amellett, hogy megvédi WordPress webhelyét a hackertámadásoktól, cache-kiszolgálóként és CDN-ként is szolgálhat. Az online webalkalmazás-tűzfalak ráadásul nagyon kedvező árúak a saját üzemeltetésű általános webalkalmazás-tűzfalakhoz képest.
Az online tűzfalak megkerülhetők
Az online WordPress tűzfalak ismert korlátja, hogy a webszerverednek elérhetőnek kell lennie az interneten keresztül ahhoz, hogy a WAF továbbítsa a forgalmat a WordPress oldaladra. Ez azt jelenti, hogy bárki továbbra is közvetlenül kommunikálhat a webszervereddel, ha ismeri annak IP-címét.
A nem célzott WordPress-támadások esetén tehát, amelyek során a támadók egyszerűen egész hálózatokat pásztáznak sebezhető webhelyek után, a webszervered és webhelyed továbbra is közvetlenül elérhető. Azonban bármikor beállíthatja a szerver tűzfalát úgy, hogy csak az online WordPress tűzfalról érkező forgalomra válaszoljon, így nem esik áldozatul az ilyen típusú támadásoknak.
A WordPress tűzfalak általános korlátai
Korlátozott nulladik napi sebezhetőségvédelem
A WAF egyik legelterjedtebb védelmi technikája, hogy a HTTP-kérés hasznos terhét egy aláírásokat tartalmazó adatbázis alapján ellenőrzi. Tehát amikor valaki meglátogatja a webhelyét, a WAF ellenőrzi a hasznos terhelést az ismert webes támadások adatbázisával. Ha egyezik, akkor az azt jelenti, hogy rosszindulatú, ha nem, akkor átengedi.
Ezért egy nulladik napi WordPress sebezhetőség esetén van esély arra, hogy a WordPress tűzfala nem blokkolja a támadást. Ezért kulcsfontosságú a gyártók reagálóképessége, és mindig reagáló és megbízható vállalkozások szoftvereit kell használnod. Minél hamarabb tudja a gyártó frissíteni a tűzfalszabályokat, annál jobb.
Webalkalmazási tűzfal megkerülése
A webalkalmazási tűzfalak olyanok, mint bármely más szoftver. Megvannak a maguk problémái, és lehetnek sebezhető pontjaik. Valójában elég sok fehér könyvet és cikket lehet találni, amelyek a webalkalmazás-tűzfalak védelmének megkerülésére használt technikákról szólnak. De mindaddig, amíg a gyártó reagál, és az ilyen problémákat időben orvosolja, minden rendben van.
Kell-e WordPress tűzfalat használnia?
Kétségtelenül! Melyik WordPress tűzfalat érdemes használni? Minden WordPress tűzfalnak megvannak az előnyei és hátrányai, ezért válaszd azt, amelyik a legjobban megfelel az igényeidnek. Azonban még ha van is WordPress tűzfalad, ne hagyd, hogy lankadjon az éberséged.
Nincs golyóálló megoldás, ha a WordPress biztonságáról van szó. Ezért mindig keményítened kell > Figyeld > Javítsd > Teszteld >. Vezess tevékenységi naplót a WordPress webhelyeden, vezess be egy sziklaszilárd WordPress biztonsági mentési megoldást, és használj WordPress tűzfalat. Ezeket ajánljuk és szeretünk velük dolgozni:
- Malcare WordPress tűzfal és malware scanner plugin
- Sucuri online WordPress tűzfal és biztonsági platform
- BBQ: Block Bad Queries WordPress tűzfal plugin